Artikel top billede

Danmarks selskabs-register pivåbent for misbrug

Det er nemt at sabotere danske virksomheder med en digital signatur på en hjemmeside under Erhvervs- og Selskabsstyrelsen. Løsningen er ikke gennemtænkt, vurderer ekspert.

En million danskere kan potentielt skabe store problemer for tusindvis af danske virksomheder i alle størrelser, fordi der er en endog meget åben arkitektur på registrerings-hjemmesiden webreg.dk under Erhvervs- og Selskabsstyrelsen.

På sitet kan personer med en digital signatur logge på systemet, indtaste sit eget eller en vilkårlig virksomheds CVR-nummer og derefter få adgang til blandt andet at afmelde virksomhedens moms, afmelde import og eksport, ændre i vedtægterne, skifte ledelsen ud, afmelde selskabets A-skat samt ændre i firmaets navn og adresse.

Ved ændringer af virksomhedens status bliver selskabet ikke nødvendigvis informeret om modifikationerne lige med det samme, da det kun er anmelderen – det vil sige den person, der sidder med den digitale signatur – der får besked om selskabs-ændringerne per mail.

Selskabet får derimod en berigtigelse sendt med posten et par dage efter med den ændrede status i sine stamdata.

Ikke gennemtænkt løsning

Sikkerheden på sitet ligger i, at styrelsen via den digitale signatur kan se, hvem der har foretaget ændringer og eventuelt chikaneret et eller flere af de mere end 100.000 danske selskaber, der ligger frit tilgængelige på hjemmesiden efter log-in med den digitale signatur.

Derudover har styrelsen opsat et maksimalt antal gange én digital signatur kan foretage registreringer på sitet.

Men den arkitektur imponerer ikke sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS.

"Løsningen er ikke gennemtænkt, for der er jo ingen grund til at friste svage sjæle. Så er det næsten ligegyldigt om det er sporbart eller ej. Man får jo adgang til at gøre stor skade ved at foretage en masse rettelser og måske ligefrem lukke en virksomhed," forklarer han til Computerworld.

Russer lænsede anpartsselskab

Den sporbare sikkerhedsbarriere så russeren Stene Danneholm, tidligere Ivan Kochelev, da også stort på, da han sidste vinter loggede ind og misbrugte systemet.

Han ændrede blandt andet i et anpartsselskabs vedtægter, så han fik fuldmagt til at hæve 90 millioner kroner på firma-kontoen.

Digital signaturer bliver stjålet

Makkeren i million-tyveriet, Michael Valevski, har ifølge flere danske aviser også misbrugt systemet ved adskillige gange at have indsat tilsyneladende intetanende personer som direktører og bestyrelsesmedlemmer i sine selskaber.

Sikkerhedsekspert Peter Kruse er ikke overrasket over, at nogen misbruger et så åbent system.

Han forklarer, at den digitale signatur i den henseende er en ringe sikkerhed for at fastslå den rette identitet på eventuelle vandaler eller kriminelle, der kan foretage meget drastiske ændringer.

"Vi lever i en tidsalder, hvor sikkerheds-certifikater og passwords i stigende grad bliver franarret personer på phishing-sites samt computere bliver stjålet. På den måde kan digitale signaturer nemt havne i de forkerte hænder," siger han til Computerworld.

Administrativt bøvl

Heller ikke partner og leder af momsafdelingen hos PricewaterhouseCoopers Jan Huusmann Christensen stikker tommelfingeren i vejret af begejstring.

"Det er uhensigtsmæssigt, at den digitale signatur ikke er hægtet på CVR-nummeret. Konsekvensen, ved at folk udefra kan ændre i stamoplysningerne, kan jo resultere i et administrativt bøvl, der koster tid og forsinkelser for virksomhederne," siger Jan Huusmann Christensen.

Han forklarer, at selvom et manglende CVR-nummer relativt hurtigt vil blive opdaget og rettet, kan der ved afmeldelse af import og eksport blive kastet grus i maskineriet, fordi et selskabs CVR-nummer i første omgang ikke figurerer i diverse EU-systemer.

Ved handel med lande uden for EU kan det være meget værre, fordi selskabet eksempelvis skal ud i lufthavnen og betale told i stedet for bare at få indført varerne automatisk via sit CVR-nummer eller opleve administrative forsinkelser i forbindelse med udførsel af vare til et ikke-EU-land land som Norge.

"Få dages forsinkelser kan jo blive ret kostbart, hvis man sælger sæsonfølsomme varer som jule-legetøj til lande uden for EU," afslutter Jan Huusmann Christensen.

Læs Erhvervs- og Selskabsstyrelsens svar




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere